セキュリティ企業のPortSwiggerでリサーチディレクターを務めるジェームス・ケトル氏が、「2021年に登場したウェブハッキングテクニックトップ10」をPortSwiggerのブログにまとめています。

Top 10 web hacking techniques of 2021 | PortSwigger Research

https://portswigger.net/research/top-10-web-hacking-techniques-of-2021



「2021年に登場したウェブハッキングテクニックトップ10」は、PortSwiggerが毎年行っている、過去1年間で発表されたウェブセキュリティに関する研究の中で最も重要なものを特定するための取り組みの2021年版です。2022年1月に選考プロセスをスタートし、情報セキュリティコミュニティから推薦された40件の研究論文の中からお気に入りの論文に投票してもらい、最終候補を15件まで絞り込み、最後は著名なセキュリティ専門家によるパネルがトップ10を選出しています。

◆1:ソフトウェアパッケージを用いて大企業をハッキングする方法

最も影響のあるハッキング手法に選ばれたのは、セキュリティ研究者のAlex Birsan氏が考案した「ソフトウェアパッケージを用いて大企業をハッキングする方法」です。Birsan氏が考案したのは「企業がソフトウェアに用いる内部パッケージを、悪意のあるコードを仕込んだ公開パッケージに置き換える」というもので、その詳細は以下の記事にまとめられています。

ソフトウェアの「パッケージ」を利用してAppleやPayPalなどの大企業をハッキングする方法とは? - GIGAZINE



この手法について、専門家パネルは「この攻撃はについてはまだ議論が進行中であり、この研究がどこに行き着くのかを私を含めた多くのセキュリティ研究者が知りたいと思っています。攻撃は非常にエレガントですが、改善する余地はないのでしょうか?それとも、これは永続的な新しい攻撃クラスの謙虚な始まりにすぎないのでしょうか?」と記し、今後の経過にも注目すべきとしています。

◆2:HTTP/2非同期攻撃・リクエストトンネリング・エクスプロイトプリミティブ

HTTP/2向けの非同期攻撃、非同期攻撃を利用したリクエストトンネリング、そしてHTTP/2に存在するエクスプロイトプリミティブを共有したPortSwiggerのブログポストが2位にランクイン。

専門家パネルは「この研究は読者が必要とするすべてを備えています。実際の研究と結果に加え、質の高い文章、ツール、そしてプレゼンテーションが、この研究を非常に特別なものにしています」「このブログポストはHTTP/2がいかに途方もなく全体の状況を複雑化させているかについて示す素晴らしい研究です。HTTP/2がまだ採用されているため、リクエストスマグリングは終わることのないHTTPのダウングレードおよびアップグレードを借りて、さらなる関連性を高めていくでしょう」と記しています。

◆3:Microsoft Exchangeの新しい攻撃対象領域

Microsoft Exchangeに存在する脆弱性について研究する台湾を拠点に活動するセキュリティ研究者のOrange Tsai氏が発表した、「Microsoft Exchangeの新しい攻撃対象領域」が3位にランクイン。なお、Tsai氏の研究は5年連続でPortSwiggerの「ウェブハッキングテクニックトップ10」にランクインしています。

専門家パネルはTsai氏の発見について、「Microsoft Exchangeのアーキテクチャと攻撃対象について完璧に紹介し、確実なエクスプロイトと大きなインパクトを与えています」「真剣に研究を始めたい人にとっては刺激的なエントリーです」「人気のメールソリューションに対する多くの人の見方を変え、最も安全に見えるアプリでさえ、粘り強く細部にまで注意を払えば簡単にセキュリティを突破できることを思い知らせるものです」と評しています。



◆4:クライアント側プロトタイプ汚染の悪用

セキュリティ研究者のs1r1us氏が発表した、クライアント側プロトタイプ汚染の悪用に関する研究が4位にランクイン。なお、同研究にかかわったセキュリティ研究者の一覧を見て専用パネルは「まるでアベンジャーズのよう」と評しています。

◆5:隠されたOAuth攻撃ベクトル

「隠されたOAuth攻撃ベクトル」は、PortSwiggerのセキュリティ研究者であるMichael Stepankin氏が発表したハッキング手法で、OAuthとOpenIDの仕様を深く掘り下げ、セッションポイズニングやSSRF攻撃の起点となるような設計上の欠陥を明らかにしたものです。

◆6:大規模キャッシュポイズニング

大規模なキャッシュポイズニングが依然として見過ごされたままであることを証明したYoustin氏の研究が6位にランクイン。Youstin氏の論文について、専門家パネルは「シークレットヘッダーと構成の誤りを伴う小さな不整合を連鎖させる技術のデモンストレーション」と評しています。

◆7:JSONの相互運用性に存在する脆弱性

Jake Millerによる「JSONの相互運用性に存在する脆弱性」という研究は、JSONパーサーの不整合をトリガーとする脆弱性を詳しくまとめたもの。



◆8:実用的なHTTPヘッダースマグリング

Daniel Thatcher氏が指摘した「実用的なHTTPヘッダースマグリング」に関する研究が8位。同研究について、専門パネルは「CL.CLに存在する脆弱性と、一般的な隠しヘッダー攻撃の両方を特定できる戦略をエレガントに再構築しています」と評しました。

◆9:より高いHTTPバージョンを介したHTTPリクエストスマグリング

2021年当初、HTTP/1.1の次期バージョンであるHTTP/2はタイミング攻撃やDoSといった攻撃に対する耐性を持った優れた通信プロトコルであるとみなされていました。しかし、セキュリティ研究者のEmil Lerner氏が「より高いHTTPバージョンを介したHTTPリクエストスマグリング」というサイバー攻撃の手法について発表。これにより、HTTP/2に存在する多数の欠点が明らかになりました。

以下のページにあるプレゼンテーションの中で、ロシアのセキュリティ研究者たちがLerner氏が発表した手法を用いたサイバー攻撃について語っています。

Несанкционированные HTTP-запросы через более поздние версии HTTP - The Standoff

https://standoff365.com/phdays10/schedule/tech/http-request-smuggling-via-higher-http-versions/



◆10:ネストされたパーサを用いたXSSファジング

ネストされたHTMLパーサーで、無効なデータや予期しないデータなどを用いて自動化あるいは半自動化したソフトウェアテストを行うファジングという手法を用い、ウェブアプリケーションの脆弱性を突くクロスサイトスクリプティング(XSS)攻撃を仕掛ける手法が10位にランクイン。この手法を開発したのはウェブアプリケーションのセキュリティについて研究するPsych0tr1a氏。ケトル氏は「印象的なケーススタディと明確で実用的な方法論が、この研究をトップクラスの研究論文として確立するに至りました」と指摘しています。